HP MPE/iX FTPSRVR任意SHELL命令执行漏洞

漏洞信息详情

HP MPE/iX FTPSRVR任意SHELL命令执行漏洞

漏洞简介

MPE/iX是一款惠普公司开发和维护的适合在HP E3000级服务器上使用的Internet集成操作系统。
MPE/iX系统中的FTP服务对用户输入缺少正确充分的检查,可以导致远程攻击者以FTP进程的权限在目标系统上执行任意命令。
由于MPE/iX系统对FTP用户输入(包括匿名用户)数据处理缺少正确的检查,攻击者可以通过构建嵌入任意命令的字符串作为参数提交给LIST命令,导致以FTP进程的权限在目标系统上执行任意命令。

漏洞公告

临时解决方法:
如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:

* 在安装补丁前关闭FTP服务。
厂商补丁:
HP

HP已经为此发布了一个安全公告(HPSBMP0204-014)以及相应补丁:

HPSBMP0204-014:Sec. Vulnerability in MPE/iX FTPSRVR

链接:

补丁下载:

HP MPE/iX 6.0:

HP Patch FTPGD91A

http://itrc.hp.com” target=”_blank”>
http://itrc.hp.com

HP MPE/iX 6.5:

HP Patch FTPGD92A

http://itrc.hp.com” target=”_blank”>
http://itrc.hp.com

HP MPE/iX 7.0:

HP Patch FTPGD93A

http://itrc.hp.com” target=”_blank”>
http://itrc.hp.com

参考网址

来源:US-CERT Vulnerability Note: VU#551683
名称: VU#551683
链接:http://www.kb.cert.org/vuls/id/551683

来源: BID
名称: 4652
链接:http://www.securityfocus.com/bid/4652

来源: XF
名称: hp-mpeix-ftp-access(8990)
链接:http://www.iss.net/security_center/static/8990.php

来源: CIAC
名称: M-075
链接:http://www.ciac.org/ciac/bulletins/m-075.shtml

来源: HP
名称: HPSBMP0204-014
链接:http://online.securityfocus.com/advisories/4082

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享